IAM-verkoston tapaamisessa keskusteltiin avoimen yliopiston opiskelijoiden roolista. Monessa yliopistossa he käyvät samoja kursseja tuntkinto-opiskelijoiden kanssa, mutta eivät pääse samoihin resursseihin, koska eivät funetEduperson-skeeman perusteella voi saada eduPersonAffiliation-attribuutin arvoa student. IAM-verkoston tapaamisessa keskusteltiin mahdollisuudesta muuttaa Hakan attribuuttiskeemaa niin, että myös avoimen yliopiston opiskelijat laskettaisiin affiliation-attribuutin arvoon student.
Muutoksella voi olla vaikutuksia Hakan kotiorganisaation IdM-käytänteisiin ja esimerkiksi palvelujen lisensointiin mahdollisesti lisääntyvänä käyttäjämääränä. Muutos voi vaikuttaa myös palvelujen (SP - Service Provider) pääsynhallintaan. Muutoksen toteutuessa palvelut joutuisivat pääsynhallinnassa luottamaan funetEduPersonStudentCategory-attribuutin arvoon eduPersonAffiliation-attribuutin sijasta silloin, jos avoimen yliopiston opiskelijat halutaan poissulkea palvelun tai sen osan käyttöoikeudesta.
Jatkokeskustelua muutoksesta käydään parhaillaan IAM-verkoston sähköpostilistalla. Haka-operointi suosittaa kotiorganisaatioita seuraamaan keskustelua ja tarpeen mukaan osallistumaan siihen. Postilistan voi tilata ja sen arkistoa voi selata osoitteessa: https://postit.csc.fi/sympa/info/haka-iam .
Open university students to be added to eduPersonAffiliation student-value
There is an ongoing discussion about including open university students in eduPersonAffiliation-attribute with value student. The change may have an effect in Haka home organisations' IdM-practices and e.g. licensing costs. We suggest following the Haka-iam mailing list for IdM specialists in Haka home organisations. The discussion is held in Finnish.
If the proposal will be approved, the change may also affect Service Providers, if they want to use current granularity in authorisation. If open university students should be excluded after the change, the Service Provider shall need to use funetEduPersonStudentCategory attribute instead.
Please, see the Haka-iam mailing list (in Finnish): https://postit.csc.fi/sympa/info/haka-iam
Shibboleth-konsortio on julkaissut tiedotteen HTTP-liikenteen salaukseen kohdistuvien hyökkäysmekanismien vaikutuksista SAML-viestien vaihtoon. On löydetty haavoittuvuuksia, jotka mahdollistavat palvelimen salaisen avaimen urkkimisen tiettyjä heikkoja algoritmeja ja salaustoteutuksia käytettäessä [1]. Haka-operoinnin suositus on, että SAML-viestien salaamisessa ja allekirjoituksessa käytetään eri avainta, kuin palvelujen HTTP-liikenteen suojaamisessa.
Eri avainten käyttäminen estää SAML-avaimen pääsyn vääriin käsiin, jos HTTP-palvelinohjelmiston toteutuksessa on virheitä. Heartbleed-hyökkäysmekanismi työllisti huomattavasti Haka-operointia ja palvelujen ylläpitoa avaimien vaihdossa.
Haka operoinnin näkemys on, että SAML-viestien vaihdossa käytettävä avain on vaihdettava, mikäli on olemassa epäilys sen joutumisesta vääriin käsiin. Epäilykseksi riittää tieto, että heikko toteutus on ollut saatavilla. Ei riitä perusteeksi olla vaihtamatta avainta, jos heikko toteutus on ollut saatavilla, mutta ei ole tietoa, että sitä olisi hyödynnetty. Sama pätee HTTPS-avaimeen.
Seuraa Shibbolethin tiedotteita
Haka-operointi välittää tietoa Haka-tech postituslistalle kriittisistä tietoturvauhkista. Haka-operointi suosittaa seuraamaan myös suoraan Shibboleth-konsortion tiedotuslistaa. Siellä on hyödyllistä tietoa myös muita SAML-tuotteita käyttäville, sillä tämä kyseinen heikkous koskee kaikkia SAML-tuotteita, joissa käytetään samaa avainta, jota käytetään HTTP-liikenteen salaamiseen.
Lisätietoa
Shibboleth-konsortion tiedote: https://marc.info/?l=shibboleth-announce&m=151673698511556&w=2
Shibboleth postilistat: https://www.shibboleth.net/community/lists/
ROBOT: https://robotattack.org/
Heartbleed: http://heartbleed.com
Briefly in english
Please, see critical security advisory from Shibboleth Consortium.
[1] Tiedotetta tarkennettu 24.1.2018. Vaikuttaa, että ei ole osoitettu ROBOT-haavoittuvuuden aiheuttavan riskiä palvelimen salaisen avaimen paljastumisesta. Sen sijaan voi olla mahdollista tallentaa salattua liikennettä ja myöhemmin purkaa salaus ilman salaista avainta. Tämä saattaa vaarantaa muut salatussa kanavassa välitetyt salaisuudet. Tiedotteessa annettu suositus pätee. Palvelun toteuttajan on arvioitava, onko olemassa epäilys salaisen avaimen joutumisesta vääriin käsiin ja jos on, avain on vaihdettava.
IAM-verkoston vuoden 2018 tapaamisten päivämäärät on sovittu. Tapaamisia järjestetään seuraavasti:
- Keskiviikko ja Torstai 18.-19.4.2018 Jyväskylän ammattikorkeakoulu
- Keskiviikko 26.9.2018 Lahden AMK
- Torstai 17.1.2019 CSC, Espoo
Päivämäärien linkeistä saa ladattua tapaamisten alustavat kalenterimerkinnät (ics-tiedosto).